审计框架需要资源隔离:对系统审计中的超级生产者威胁及其缓解措施的系统研究
摘要:系统审计是检测高级持续性威胁(APT)攻击的关键技术。然而,攻击者可能试图通过破坏系统审计框架来掩盖其恶意活动。本文针对审计框架中的超级生产者风险进行了全面而系统的研究,该风险使攻击者可以破坏审计框架或使整个系统瘫痪。我们分析了超级生产者风险的主要原因是现有解决方案中集中式架构中缺乏数据隔离。为了解决这一问题,我们提出了一种新颖的审计框架NODROP,该框架通过基于线程片的架构设计隔离不同进程生成的溯源数据。我们的评估结果表明,与原始的Linux相比,NODROP可以确保审计框架的完整性,同时在八种不同的硬件配置中平均增加了6.58%的应用程序开销,与最先进的商业审计框架Sysdig相比降低了6.30%的应用程序开销。
作者:Peng Jiang, Ruizhe Huang, Ding Li, Yao Guo, Xiangqun Chen, Jianhai Luan, Yuxin Ren and Xinwei Hu
论文ID:2307.15895
分类:Cryptography and Security
分类简称:cs.CR
提交时间:2023-08-01